En 2009, vimos el comienzo de ataques de alto perfil realizados por un grupo que usó el troyano conocido como Hydraq (Aurora). El equipo de Symantec Security Response ha estado monitoreando los ataques que este grupo ha realizado durante los últimos tres años de forma consistente, los cuales se han dirigido a diversas industrias.
Los ataques han utilizado un gran número de exploits de día cero, no solo contra la empresa objetivo, sino que también tienen en la mira a las empresas de la cadena de suministros que abastecen a dicha empresa. Estos ataques son sistemáticos y reutilizan componentes de una infraestructura denominada “Plataforma Elderwood”. El término “Elderwood” viene de la comunicación utilizada en algunos ataques. Esta plataforma de ataque les permite aprovechar rápidamente los exploits de día cero. La metodología de ataque siempre ha utilizado correos electrónicos de spear phishing, pero ahora estamos observando una mayor adopción de ataques tipo watering hole (que comprometen a ciertos sitios web que vayan a ser visitados por la empresa que es blanco del ataque).
Esta campaña realizada por este grupo se denomina como “Proyecto Elderwood”.
Las vulnerabilidades serias de día cero que son aprovechadas libremente y afectan a un software de uso generalizado son poco comunes; aproximadamente ocho en 2011. Sin embargo, en los últimos meses se ha visto que cuatro de dichas vulnerabilidades fueron utilizadas por los atacantes Elderwood. Aunque hay otros atacantes que aprovechan los exploits de día cero (por ejemplo, los ataques Sykipot o Nitro), no hemos visto a ningún otro grupo utilizar tantos. El número de exploits de día-cero usados indica el acceso a un alto nivel de capacidad técnica.
Es probable que los atacantes hayan obtenido el acceso al código fuente para algunas aplicaciones de uso generalizado, o hayan realizado ingeniería inversa sobre las aplicaciones compiladas con el objeto de descubrir estas vulnerabilidades. Al parecer, el grupo tiene un suministro ilimitado de vulnerabilidades de día cero. Las vulnerabilidades se utilizan según las diferentes necesidades, habitualmente en forma sucesiva si la exposición de la vulnerabilidad actualmente utilizada es inminente.
Los objetivos principales identificados están dentro de la cadena de suministro de defensa, la mayoría de los cuales no son empresas con sistemas de protección de alto nivel. Estas empresas fabrican componentes electrónicos o mecánicos que se venden a otras organizaciones con sistemas de seguridad mucho más avanzados. Los atacantes esperan que aparezcan marcos de seguridad más débiles en estas organizaciones menos preparadas y utilizar a estos fabricantes como escalón para acceder a los contratistas que poseen sistemas de defensa de máximo nivel; u obtener la propiedad intelectual utilizada en la producción de partes.
